El modelo de amenaza de Mailfence

""

Tabla de contenidos

Comparte el artículo:

modelo de amenaza

Estamos convencidos de que todos los usuarios tienen derecho a saber exactamente de qué amenazas le PROTEGE o NO LE PROTEGE Mailfence, un paquete de software de correo electrónico seguro y privado. Es por eso que hemos creado este modelo de amenaza genérico para Mailfence.

«Mailfence» LE PROTEGERÁ  contra:

  • Espionajes en su conexión a internet – Cuando usted usa Mailfence, la conexión entre su ordenador y el servidor de Mailfence está protegida por cifrado (SSL/TLS). Eso significa que, si alguien intenta espiar en su conexión a internet, no serán capaces de leer el tráfico que usted envíe a nuestra web. Esto es un componente especialmente importante de el modelo de amenaza si usted utiliza su ordenador desde una red pública o empresarial, o si usted está usando una conexión inalámbrica no cifrada.
  • Vigilancia masiva – Perfecta para un individuo (o corporación) que NO quiere que el gobierno (u otros actores no relacionados con el estado), tengan acceso a todos sus correo electrónicos en ningún momento. Mailfence no funciona al igual que otros gigantescos actores estadounidenses (Google, Microsoft, Yahoo!…), quienes continuamente inspeccionan y almacenan todas sus conversaciones. Nuestra tecnología de cifrado de extremo a extremo (E2EE) está diseñada para protegerle de cualquiera que intente entrometerse en la privacidad de sus correo electrónicos, mediante la implementación de una confidencialidad e integridad absolutas a sus mensajes, en donde solo un destinatario específico puede leer el contenido de un mensaje, descifrándolo mediante su propia clave privada.
  • Ataques de Falsificación / Manipulación de Mensajes – Mediante firmas digitales, «Mailfence» le ofrece la posibilidad de tener absoluta autenticidad y no-repudio, lo que la convierte en la única solución que ofrece la tríada CID completa a sus usuarios, y también en una plataforma ideal no sólo para los entusiastas de la privacidad, sino también a profesionales (médicos, ingenieros, abogados, periodistas, profesores, estudiantes…) de manera de que puedan ejercer sus libertades en internet hasta su máxima expresión.
  • Cuentas Comprometidas – Si la contraseña de su cuenta se ve comprometida, la capa protectora de frase de contraseña que va sobre su clave privada evita que un atacante ejecute criptoactividades (como envío de cualquier mensaje cifrado y/o firmado digitalmente, hacer operaciones en su «key store«, etc.) o lea cualquier correo electrónico cifrado que usted haya recibido de otros. De esta manera, la confidencialidad e integridad de su contenido cifrado está protegida al máximo.
  • Robo de datos – Digamos que un adversario fuerte (tal como un estado, u otro actor) lograse, de algún modo, irrumpir en nuestros servidores para apoderarse de nuestros datos (cosa bastante improbable); en ese caso, todo su contenido cifrado permanecería intacto, y ningún adversario sería capaz de descifrarlo, puesto que necesitarían tener su clave privada, que está protegida por su frase de clave privada (que usted, y solamente usted, conoce). Por otra parte, para reducir las posibilidades de violación de una clave privada mediante el uso de maquinarias y recursos de la magnitud de un estado, la longitud de cada Par de Claves ha sido predeterminada a 4.096 bits (generada con entropía fuerte). Si bien hay quien dice que eso solo ofrece un poco más de seguridad comparado con las versiones de 2.048 bits, a nosotros nos agrada tener disponible ese extra de seguridad para complementar el modelo de amenaza.

«Mailfence» NO LE PROTEGERÁ contra:

  • Un dispositivo comprometido – Si su dispositivo ha sido comprometido o puesto en riesgo por un malware, un Keylogger (registrador de teclas), etc., cosa que no es muy difícil de hacer en la actualidad, especialmente si su adversario es un estado, entonces tanto el E2EE como las demás medidas de seguridad resultarán inútiles. De hecho, su adversario puede utilizar su cuenta para suplantar su identidad, y hacer daño a gran escala a su presencia en internet. (No deje de leer la sección de «tips» en nuestro blog, para enterarse de las mejores prácticas).
  • Frase de clave privada comprometida u olvidada – Desafortunadamente, este caso es bastante común. Si su frase de clave privada ha sido comprometida (por ejemplo, debido a un malware, Keylogger o malas prácticas tales como escribirlo en un papel, enviarlo en textos claramente entendibles, etc.) o simplemente se le ha olvidado, entonces usted está en serios problemas y no podremos ayudarle en modo alguno, excepto instándole a cambiar su frase de clave privada o simplemente revocar ese par de claves y comenzar a usar uno nuevo. (Véase la sección «Como Hacer» para más detalles).
  • Un Ataque de Intermediario (MITM) de alto nivel – Un Ataque de Intermediario de alto nivel es un tipo de ataque en el cual un adversario (típicamente un estado) puede crear un clon de Mailfence de forma extremadamente sofisticada (falsificando nuestro certificado, cosa muy difícil, pero no imposible, de hacer, autentificando el de un usuario en base a falsas premisas, etc.), y de alguna manera falsificar todos los servicios que Mailfence ofrece, con el objetivo de engañarle y lograr que nos confunda con ellos, para así comprometer sus datos a gran escala. Dada la complejidad y dificultad de un ataque semejante, se considera que solo adversarios de alto nivel (como estados, etc.) son capaces de ejecutarlos. Debido a nuestros esfuerzos por conseguir un certificado de AC (como el no tener ninguna compañía registrada en los Estados Unidos, etc.) y por ofrecerle la posibilidad de verificar nuestro certificado de SSL/TLS, hemos reforzado nuestras defensas hasta el máximo nivel posible.
  • Ataques financiados por grandes estadose/APT  (DDoS, ruptura del cifrado, implantación de «puertas traseras«, etc.) – Un ataque distribuido de denegación de servicio (DDoS por sus siglas en inglés) suele tener la intención de volver inaccesible a un servicio entero (página web), impidiendo a sus usuarios el utilizarlo. En nuestros más de 15 años de operar sistemas de mensajería basados en la nube, hemos estado involucrados en algunas situaciones de este tipo, y hemos hecho todo lo posible para mitigar tales riesgos. Otros ataques comúnmente financiados y ejecutados por estados, tales como descifrado, implantación de una «puerta trasera», envío de códigos maliciosos de JavaScript, etc.) podrían potencialmente ocurrir; bien lo dice el refrán: Nada es imposible. Sin embargo, nosotros hemos extremado todas las precauciones concebibles para mitigar el riesgo que conllevan tales amenazas.

Antes de llegar a las conclusiones finales, deseamos expresar con total claridad que Mailfence no debe ser utilizado para ninguna actividad ilegal, y que cumplimos rigurosamente con la legislación vigente en Bélgica (vea nuestra Política de Privacidad para mayores detalles). Por consiguiente, nuestro servicio es ideal para la protección de comunicaciones empresariales delicadas, datos tanto privados como personales, de todo tipo de usuarios, personales y profesionales (médicos, ingenieros, abogados, periodistas, profesores, estudiantes…).

Ahora mismo, Mailfence es una solución de tecnología de punta que ofrece unos excelentes niveles de privacidad y seguridad.  Ciertamente, somos conscientes de que hay usuarios que tienen unos adversarios muy específicos, y que son capaces de invertir ingentes cantidades de recursos para lograr sus objetivos, y es en ese caso donde incluso la criptografía no sería capaz de lograr mucho, tal como ilustra el siguiente cómic.

«La privacidad es un derecho, no una funcionalidad» es el concepto fundamental en que se basa Mailfence, y diariamente nos esforzamos por hacerlo valer.

[maxbutton id=»30″]

Síganos en twitter/reddit y manténgase informado en todo momento.

– El Equipo Mailfence

Recupera la privacidad de tu correo.

Cree hoy mismo su correo electrónico gratuito y seguro.

Picture of Patrick De Schutter

Patrick De Schutter

Patrick es cofundador de Mailfence. Ha sido emprendedor en serie e inversor en startups desde 1994 y ha lanzado varias empresas pioneras en Internet, como Allmansland, IP Netvertising o Express.be. Es un firme creyente y defensor de la encriptación y la privacidad. Puede seguir a @pdeschutter en Twitter y LinkedIn.

Recomendado para usted